Aggah
De Aggah-malware is een variant van de Revenge RAT (Remote Access Trojan) die is gebruikt bij massale aanvallen in het Midden-Oosten. Computerbeveiligingsonderzoekers ontdekten dat een voorheen onbekende groep wijzigingen aanbracht in de originele RevengeRAT-broncode en de alias 'haggah' gebruikte bij aanvallen. De bedreigingsactoren gebruiken spam-e-mails om hun RAT te verspreiden en kunnen e-mails gebruiken die eruitzien als interne bedrijfsberichten. De aanvallers lijken bestandsnamen te gebruiken die lijken op veelgebruikte namen voor werkdocumenten en lokken gebruikers ertoe een Microsoft Word-document met macro's te downloaden.
De Aggah RAT (Trojan voor externe toegang) wordt geleverd als een laatste lading via een reeks scripts. Een typische Aggah-aanval omvat niet minder dan negen stappen en ook het wijzigen van registerwaarden die aan MS Office zijn gekoppeld. Gebruikers die dropper-bestanden openen die zijn gekoppeld aan de Aggah RAT, krijgen een waarschuwing te zien om het laden van inhoud van externe hosts mogelijk te maken. Dat is een truc die bedoeld is om macro's in te schakelen en scripts te laden vanaf een bewapende pagina op het Blogspot-platform. De schadelijke Blogspot-pagina host JavaScripts die naar de pc van de gebruiker worden gedownload en met beheerdersrechten worden uitgevoerd. De bedreigingsactoren slagen erin de native AV-tool op Windows uit te schakelen en functies in de Microsoft Office-suite uit te schakelen. Vervolgens voert het dropper-bestand PowerShell-opdrachten uit via een verborgen exemplaar van het Windows PowerShell-opdrachtregelprogramma. De commando's installeren de Aggah RAT op de lokale schijf en registreren een geplande taak zodat de malware wordt geladen bij het opstarten van Windows.
De Aggah RAT is een generiek hulpprogramma voor externe toegang waarmee bedreigingsactoren bestanden van uw pc kunnen ophalen; verwijder bestanden op uw schijven; programma's uitvoeren / beëindigen; trek de bladwijzers van uw webbrowser en opgeslagen wachtwoorden op; maak screenshots van uw bureaublad; toegang tot uw webcam en microfoon. U moet twijfelachtige e-mails vermijden en elke week beveiligingsscans uitvoeren als u het risico van besmetting met de Aggah RAT wilt verkleinen. Detectiewaarschuwingen die zijn gekoppeld aan de Aggah-malware worden hieronder vermeld:
Malware @ # 2bi0wb8fa6yje
Overig: Malware-gen [Trj]
RDN / Generic Downloader.x
RTF / Exploit
Verdacht / RTF.Obfus.Gen.1
Trojan.Ole2.Vbs-heuristic.druvzi
Trojan.TDLQ-1
Trojan.X97M.DLOADR.JHLB
Virus.office.qexvmc.1095
Xls.Malware.Sload-6889487-0
